本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
的委派管理员 AWS Organizations
我们建议您仅将 AWS Organizations 管理账户及其用户和角色用于必须由该账户执行的任务。此外,我们还建议您将所有的 AWS 资源存储在组织的其他成员账户中,而非保存在管理账户中。这是因为,Organizations 服务控制策略(SCP)等安全功能不会限制管理账户中的用户或角色。
您可以从组织的管理账户中,将 Organizations 的策略管理委托给指定的成员账户,来执行默认情况下仅管理账户才可执行的策略操作。
创建或更新基于资源的委托策略
在管理账户中,为您的组织创建或更新基于资源的委托策略,并添加一条语句,指定哪些成员账户可以对策略执行操作。您可以在策略中添加多个语句来表示成员账户的不同权限集。
最小权限
要创建或更新基于资源的委托策略,您需要运行以下操作的权限:
-
organizations:PutResourcePolicy
-
organizations:DescribeResourcePolicy
此外,您必须向委托管理员账户中的角色和用户授予相应的 IAM 权限,以执行所需操作。如果没有 IAM 权限,则假设调用方委托人没有管理 AWS Organizations 策略所需的权限。
支持的委托策略操作
委托策略支持以下操作:
-
AttachPolicy
-
CreatePolicy
-
DeletePolicy
-
DescribeAccount
-
DescribeCreateAccountStatus
-
DescribeEffectivePolicy
-
DescribeHandshake
-
DescribeOrganization
-
DescribeOrganizationalUnit
-
DescribePolicy
-
DescribeResourcePolicy
-
DetachPolicy
-
DisablePolicyType
-
EnablePolicyType
-
ListAccounts
-
ListAccountsForParent
-
ListAWSServiceAccessForOrganization
-
ListChildren
-
ListCreateAccountStatus
-
ListDelegatedAdministrators
-
ListDelegatedServicesForAccount
-
ListHandshakesForAccount
-
ListHandshakesForOrganization
-
ListOrganizationalUnitsForParent
-
ListParents
-
ListPolicies
-
ListPoliciesForTarget
-
ListRoots
-
ListTagsForResource
-
ListTargetsForPolicy
-
TagResource
-
UntagResource
-
UpdatePolicy
支持的条件键
只有支持的条件键 AWS Organizations 才能用于委托策略。有关更多信息,请参阅《服务授权参考》 AWS Organizations中的条件密钥。
查看基于资源的委托策略
在管理账户中,查看贵组织基于资源的委托策略,以了解哪些委托管理员有权管理哪些策略类型。
最小权限
要查看基于资源的委托策略,您需要运行以下操作的权限:organizations:DescribeResourcePolicy
。
删除基于资源的委托策略
当您不再需要委托组织中的策略管理时,可以从组织的管理账户中删除基于资源的委托策略。
重要
如果您删除基于资源的委托策略,将无法恢复。
最小权限
要删除基于资源的委托策略,您需要运行以下操作的权限:organizations:DeleteResourcePolicy
。